溯源工作中,会遇到很多反制到肉鸡,该脚本有利于在肉鸡上排查攻击者留下的痕迹,
Usge:
sh Quick-capture.sh
输出结果在/tmp/{data} 文件
检查项:
1.IP地址
2.当前登录用户
3.查看系统用户信息
4.查看是否存在超级用户
5.空口令账户检测
6.新增用户检查
7.新增用户组检查
8.sudoers文件中用户权限
9.检查各账户下的登录公钥
10.网络连接和监听端口
11.系统进程分析
12.CPU内存异常
13.检查历史命令
14.定时任务分析
15.登录、lastlog、wtmp日志分析
16.检查历史登录IP记录
17.后门简单排查